Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
pl:przewodniki:prosty-firewall-dla-stacji-roboczej [2008/02/10 22:17]
light-i
pl:przewodniki:prosty-firewall-dla-stacji-roboczej [2008/10/31 00:23] (current)
qwiat firestarter
Line 1: Line 1:
-Poniżej przestawię jak stworzyć ​prosty i jednocześnie skuteczny firewall oparty o **Netfilter**. Zaczynamy od instalacji programu iptables:+Jeśli nie odpowiadają nam graficzne narzędzia (np. firestarter) do konfiguracji filtra pakietów, możemy za pomocą kilku regułek iptables ​stworzyć ​prostą, ale skuteczną zaporę. Zaczynamy od instalacji programu iptables:
 <​code>​$ poldek -i iptables</​code>​ <​code>​$ poldek -i iptables</​code>​
 +
  
 ====== Podstawowa wersja ====== ====== Podstawowa wersja ======
Line 16: Line 17:
 # iptables -A INPUT -m state --state ESTABLISHED,​RELATED -j ACCEPT</​code>​ # iptables -A INPUT -m state --state ESTABLISHED,​RELATED -j ACCEPT</​code>​
  
-Pierwszy wiersz usuwa istniejące regułki, trzy kolejne ustawiają domyślną politykę, czwarty dopuszcza ruch dla interfejsu pętli zwrotnej a ostatni wpuszcza ruch z zewnątrz pod warunkiem że był nawiązany z lokalnej maszyny. Domyślna polityka **DROP** powoduje, że odebrane pakiety które nie pasują do regułek będą całkowicie ignorowane. Powyższy przykład to w pełni działający firewall, dzięki temu, że Netfilter jest filtrem stanowym można było znacznie zmniejszyć liczbę koniecznych regułek.+Pierwszy wiersz usuwa istniejące regułki, trzy kolejne ustawiają domyślną politykę, czwarty dopuszcza ruch dla interfejsu pętli zwrotnej a ostatni wpuszcza ruch z zewnątrz pod warunkiem że był nawiązany z lokalnej maszyny. Domyślna polityka **DROP** powoduje, że odebrane pakiety które nie pasują do regułek będą całkowicie ignorowane. Powyższy przykład to w pełni działający firewall. Dzięki temu, że Netfilter jest filtrem stanowym można było znacznie zmniejszyć liczbę koniecznych regułek.
  
  
Line 72: Line 73:
  
 Zapisujemy kod do pliku, nadajemy mu prawo wykonania i już możemy używać skrypt. Zapisujemy kod do pliku, nadajemy mu prawo wykonania i już możemy używać skrypt.
 +
 +
 +
 +
  
  
Line 80: Line 85:
 Jeżeli jesteś zwolennikiem metod nazywanych '​koszernymi',​ to zamiast każdorazowego wykonywania ​ skryptu konfigurującego przy starcie systemu, należy zainstalować dodatkowo pakiet iptables-init : Jeżeli jesteś zwolennikiem metod nazywanych '​koszernymi',​ to zamiast każdorazowego wykonywania ​ skryptu konfigurującego przy starcie systemu, należy zainstalować dodatkowo pakiet iptables-init :
 <​code>​ <​code>​
-# poldek -i  iptables-init+# poldek -i iptables-init
 </​code>​ </​code>​
 Następnie ustanawiasz wszystkie potrzebne reguły iptables, bądź bezpośrednio z linii poleceń, lub wykonując swój ulubiony skrypt. Następnie ustanawiasz wszystkie potrzebne reguły iptables, bądź bezpośrednio z linii poleceń, lub wykonując swój ulubiony skrypt.
 Teraz wykonujesz zrzut obecnie obowiązujących reguł iptables: Teraz wykonujesz zrzut obecnie obowiązujących reguł iptables:
 <​code>​ <​code>​
-# service ​ iptables save+# service iptables save
 </​code>​ </​code>​
 Przywrócenie zapisanych reguł (np. po eksperymentach) : Przywrócenie zapisanych reguł (np. po eksperymentach) :
 <​code>​ <​code>​
-# service ​ iptables ​stop+# service iptables ​start
 </​code>​ </​code>​
 Porzucenie tych reguł : Porzucenie tych reguł :
 <​code>​ <​code>​
-# service ​ iptables stop+# service iptables stop
 </​code>​ </​code>​
  
 I to tyle... Przy każdym restarcie systemu będą przywracane te reguły z pliku **/​etc/​sysconfig/​iptables** zależnie od tego jak mamy skonfigurowany start/stop w odpowiednich runlevel-ach SysV. Domyślnie po instalacji w 3-im i 5-tym jest na start, jak w wiekszości usług dostępnych „spod poldka”. I to tyle... Przy każdym restarcie systemu będą przywracane te reguły z pliku **/​etc/​sysconfig/​iptables** zależnie od tego jak mamy skonfigurowany start/stop w odpowiednich runlevel-ach SysV. Domyślnie po instalacji w 3-im i 5-tym jest na start, jak w wiekszości usług dostępnych „spod poldka”.
  
 +//Dopisał : **Daniel Dawid Majewski** 10 lutego 2008r. o godz. 22:20//
pl/przewodniki/prosty-firewall-dla-stacji-roboczej.1202678234.txt.gz · Last modified: 2008/02/10 22:17 by light-i
chimeric.de = chi`s home Creative Commons License Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0 Powered by Lighttpd - fly light